Am 24. Juli 2002 brach für John Rigas eine Welt zusammen. Der 77 Jahre alte erfolgsverwöhnte Gründer des US-amerikanischen Unternehmens Adelphia Communications wurde an diesem Morgen von Polizeibeamten aus seinem Appartement geholt und in Handschellen abgeführt. Der Vorwurf lautete auf Unterschlagung und Diebstahl.

Knapp zwei Jahre später wurde Rigas in 18 Fällen für schuldig befunden: Er hatte unter anderem 2,3 Milliarden US-Dollar an Krediten unterschlagen und mehr als 100 Millionen Dollar aus der inzwischen Konkurs gegangenen Adelphia veruntreut. Eine zentrale Rolle bei der Gerichtsverhandlung spielten Daten, die nur elektronisch vorlagen und die letztlich Rigas’ Schuld bewiesen. Möglich machte das eine elektronische Form der kriminalistischen Spurensicherung: die Computerforensik. Mit ihr versuchen Spezialisten zu ermitteln, ob beispielsweise Dateien auf einer Festplatte in irgendeiner Form manipuliert worden sind.

Wer früher Bilanzen fälschen oder Mitbewerbern vertrauliche Unterlagen zuspielen wollte, musste vor allem Papier verschwinden lassen oder kopieren. Heute genügt dafür prinzipiell das richtige Passwort. Denn schätzungsweise 90 Prozent aller Dokumente, die in einem Unternehmen anfallen, werden niemals für die Aktenablage ausgedruckt, sondern nur direkt für den Versand oder werden gar ausschließlich per E-Mail weitergeleitet. Diskussionen zur Unternehmensstrategie, zwingende Vertragsbestandteile oder Liefertermine sind also oft nur noch als Nullen und Einsen auf Festplatten und anderen Datenträgern hinterlegt.

Laut Kai Küllmer von der Pressestelle des Bundeskriminalamts gibt es mittlerweile in jedem deutschen Bundesland Dienststellen, die sich mit der informationstechnischen Beweissicherung befassen. Das Technische Servicezentrum für Informations- und Kommunikationstechnologien (TeSIT) des Bundeskriminalamts weist in seinem Tätigkeitsbericht für das Jahr 2003 darauf hin, dass in den Sachgebieten „IT-Beweissicherung” und „ Datenträgeruntersuchung” 7,5 Terabyte an Daten neu hinzugekommen sind. Gegenüber 2002 bedeutet dies glatt eine Verdopplung der Datenmenge, die im Rahmen von Ermittlungen beschlagnahmt wurde.

Die polizeiliche Kriminalstatistik weist für das Jahr 2004 einen Anstieg um rund 12 Prozent bei den bekannt gewordenen Fällen von Computerkriminalität aus. Insgesamt wurden fast 67 000 Fälle erfasst. Dazu zählen auch Delikte von Betrug mithilfe von rechtswidrig erlangten Zugangsdaten. Die Zahl der Fälle von Datenveränderung oder Computersabotage liegt bei rund 2000. Verglichen mit anderen Straftaten sind diese Zahlen niedrig, doch die Dunkelziffer dürfte recht hoch sein. Darauf deuten auch zwei voneinander unabhängige Untersuchungen hin.

So hat die Euler Hermes Kreditversicherung mit Sitz in Hamburg 2004 eine Untersuchung veröffentlicht, nach der in den vergangenen drei Jahren ein Drittel der deutschen Firmen mit mehr als einer Million Euro Umsatz Opfer von Wirtschaftskriminalität geworden ist. Eine Studie, die das Innen- und das Wirtschaftsministerium von Baden-Württemberg Ende vergangenen Jahres gemeinsam vorgestellt haben, beziffert den Schaden durch Wirtschaftsspionage allein in dem südwestdeutschen Bundesland auf etwa sieben Milliarden Euro pro Jahr. Für das gesamte Bundesgebiet, so die Studie, seien es schätzungsweise 50 Milliarden Euro.

Wie oft dabei die Manipulation oder das Kopieren elektronischer Daten im Spiel sind, kann nicht beziffert werden, man weiß nur, dass es häufig vorkommt, weil viele Informationen inzwischen nur noch digital vorliegen. Aus Angst um ihren guten Ruf haben die Unternehmen jedoch kein Interesse daran, solche Fälle öffentlich zu machen. Besteht ein entsprechender Verdacht, werden daher eher private Computerforensik-Dienstleister als die Ermittlungsbehörden hinzugezogen.

Ein solcher Dienstleister ist die Böblinger Firma Kroll Ontrack. Das Tochterunternehmen der weltweit arbeitenden Risikoberatungsgesellschaft und Wirtschaftsdetektei Kroll hat eine langjährige Tradition als Datenrettungsspezialist. Das Geschäft mit der Computerforensik bringt es bislang nur auf einen einstelligen Anteil am Umsatz. Aber man hofft bei Kroll Ontrack auf eine wachsende Nachfrage. „Man lebt in diesem Geschäft von seinem guten Ruf”, sagt Geschäftsführer Reinhold Kern. Denn einen formalen Nachweis oder Zertifikate gibt es in der Computerforensik nicht.

Wie bei beschädigten oder irrtümlich gelöschten Datenträgern geht es in der Computerforensik oft um die Rekonstruktion von Daten – allerdings von solchen, die jemand mutwillig gelöscht hat. „Anders als bei der Datenrettung muss man eine Datei oft gar nicht vollständig rekonstruieren können”, erklärt Kern, entscheidend sei die Frage, ob in Dateifragmenten zum Beispiel noch Hinweise auf bestimmte Schlagwörter zu finden seien. „Uns genügt also sozusagen noch ein kleiner Papierfetzen, wenn nur das Richtige auf ihm steht.”

Große Bedeutung für Forensiker hat die Computerinfrastruktur des betroffenen Unternehmens. Denn die mutmaßlich manipulierten Daten sind ja oft nicht direkt auf dem Arbeitsplatzrechner des Verdächtigen gespeichert, sondern auf einem zentralen Server. Außerdem lassen sich an vielen PCs mobile Kleinrechner anschließen, um beispielsweise Termine abzugleichen. Hat ein Verdächtiger an seinem Arbeitsplatzrechner etwa die Kundendatei kopiert, lässt sich dies nachträglich anhand der Log-Dateien feststellen. Sie sind quasi die „Tagebücher” der Computer, in denen die Rechner ihre Aktivitäten unbemerkt vom Nutzer dokumentieren.

„Hilfreich ist, wenn der Kunde den relevanten Zeitraum, in dem die verdächtigen Handlungen begangen worden sein sollen, möglichst genau eingrenzen kann”, sagt Kern. Dann lässt sich gezielt suchen. Gerade in der vernetzten Computerwelt des 21. Jahrhunderts ist das aber nicht immer möglich. „Viele Firmen bewahren die Log-Dateien nicht lange auf, weil die eben auch viel Speicherplatz fressen”, weiß Kern aus Erfahrung. Drei Monate seien da schon eine recht lange Zeit, bevor sie automatisch auf der Festplatte wieder überschrieben würden. Schöpft man in einem Unternehmen erst nach einem halben Jahr Verdacht, können mögliche Beweise also bereits vernichtet worden sein.

Wenn die Computerforensiker von ihrem Auftraggeber wissen, wonach sie genau suchen müssen, können sie erstaunliche Dinge zu Tage fördern. So wiesen die Mitarbeiter von Kroll Ontrack in einem Fall nach, dass ein Außendienstmitarbeiter vor seinem Wechsel zur Konkurrenz vertrauliche Informationen des alten Arbeitgebers weitergegeben hatte. Konkret vermutete das mittelständische Unternehmen, dass der Mitarbeiter seiner neuen Firma Angebote zugespielt hatte, damit sie die des alten Arbeitgebers unterbieten konnte.

Der alte Arbeitgeber hatte den Kroll-Ontrack-Forensikern die Notebook-Festplatte des Außendienstlers übergeben. Zunächst untersuchten die Experten, ob von diesem Notebook aus E-Mails über Freemailer wie GMX oder Yahoo verschickt worden waren, da diese Art des Mail-Verkehrs Spuren auf der Festplatte in nicht zugeordneten Bereichen hinterlässt: Daten in solchen Bereichen sind zwar für den PC-Nutzer nicht mehr zugänglich, aber noch eine unbestimmte Zeit auf der Festplatte vorhanden, bis sie schließlich überschrieben werden. Auch E-Mail-Anhänge ließen sich auf diesem Wege rekonstruieren.

Neben den weitergeleiteten Angeboten fanden die Forensiker noch anderes Beweismaterial: Der Außendienstmitarbeiter hatte Stammkunden seines alten Arbeitgebers abgeworben und mit ihnen bereits Geschäfte im Namen des neuen Arbeitgebers abgeschlossen. Aus wiederhergestellten Listen war sogar klar ersichtlich, wie viel Umsatz der Außendienstler für die neue Firma bereits generiert hatte.

Damit solche Ergebnisse vor Gericht als Beweise anerkannt werden, müssen allerdings bestimmte Regeln eingehalten werden. „ Man muss nachweisen können, dass nicht manipuliert worden ist”, sagt Kern. So muss man beispielsweise sorgfältig dokumentieren, welchen Weg der verdächtige Datenträger vom Auftraggeber ins Forensiklabor genommen hat. Bevor sich die Forensiker auf die elektronische Spurensuche begeben, machen sie eine Kopie des Originals und generieren einen so genannten Hash-Code. Durch diese Zahlenfolge ist technisch sicher gestellt, dass es sich um eine identische Kopie handelt. Eine Hash-Funktion ist eine mathematische Funktion, die – auf eine beliebig lange Kette von Bytes angewandt – einen festen Wert liefert, den Hash-Code. Aufgrund des hohen Rechenaufwands ist es praktisch unmöglich, aus einem Hash-Code wieder exakt die ursprüngliche Byte-Folge zu rekonstruieren – der Hash-Code dient somit als eine Art „ elektronischer Fingerabdruck”, der den Datenträger eindeutig kennzeichnet. Die darauf enthaltenen Ausgangsdaten lassen sich nicht fälschen.

Die Kopie des Datenträgers kommt wie das Original in den Safe, nachdem von ihr nochmals ein Duplikat angefertigt worden ist. Erst an dieser Kopie der Kopie findet dann die forensische Analyse statt. Neben den technischen Vorkehrungen gilt für sämtliche Aktivitäten, die die Echtheit des Beweismaterials dokumentieren, das Vier-Augen-Prinzip. Das heißt: Bei jedem Schritt ist eine zweite Person anwesend, die die ordnungsgemäße Ausführung der Arbeiten bestätigt. Bei der eigentlichen Analyse gehen die Dienstleister dann jedoch so vor, dass möglichst wenige Mitarbeiter eingebunden sind. Das ist eine zusätzliche Schutzmaßnahme, da der – häufig diskret – zu behandelnde Fall möglichst wenig Mitwisser haben soll.

Kommt es zur Gerichtsverhandlung, treten die Forensikdienstleister als Gutachter auf. Gegengutachten gebe es dabei selten, weil viele Richter und Anwälte in der Thematik wenig bewandert seien, sagen Branchenexperten einhellig. Die Richtigkeit eines solchen Gutachtens wird also – anders als bei psychologischen Gutachten – bislang so gut wie nie in Frage gestellt.

Beim US-amerikanischen Unternehmenschef John Rigas wäre das Gutachten allerdings fast doch gekippt worden, weil die Ermittlungsbehörden mit den Originaldatenträgern ziemlich nachlässig umgegangen waren: Auf einer als Beweismittel dienenden Festplatte wurden versehentlich weitere Dateien gespeichert. Der Richter lehnte den Einspruch der Verteidigung jedoch ab. Pech für John Rigas, der nun für den Rest seines Lebens hinter Gitter muss. ■

Michael Vogel arbeitet als freier Journalist in Stuttgart. Er schreibt über Themen aus Informationstechnik, Physik und Astronomie.

Michael Vogel